Avast spesialister oppdaget Clipsa, den merkelige malware, som ikke bare stjeler kryptovaluta, erstatter lommeboken adressene i brukernes’ buffere og installerer gruvearbeidere på infiserte maskiner, men også lanserer brute-force angrep mot WordPress nettsteder på kompromitterte verter.
THan viktigste kilde til infeksjoner er kodekpakker for mediespillere som brukerne laster ned på internett selv.ifølge forskere, Clipsa har vært aktiv i minst et år, og de fleste av alle ekspertene ble overrasket av funksjonaliteten mot WordPress nettsteder. Faktum er at Windows malware sjelden viser slik oppførsel, som ofte slike angrep utføres ved robot fra infiserte servere eller IOT anordninger.
“Clipsa bruker mest sannsynlig smittede WordPress nettsteder som sekundære ledelse servere, som deretter brukes til å laste ned og lagre data stjålet, samt å gi linker til å laste ned gruvearbeidere”, – eksperter skrive.
derimot, til tross for angrep på WordPress nettsteder, Clipsa fortsatt konsentrere seg om kryptovaluta. Derfor, etter smitte, malware skanner offerets datamaskin for wallet.dat filer knyttet til kryptovaluta lommebøker. Hvis filene er funnet, malware stjeler dem og overfører dem til en ekstern server. Clipsa ser også for TXT-filer som inneholder strenger i BIP-39 format. Hvis noen er funnet, teksten er lagret i en annen fil, og overført til de kriminelle serveren, så senere den kan brukes til å knekke de stjålne wallet.dat filer.
I tillegg, malware installerer kontroll over utklippstavlen av den infiserte OS og skjermer når brukeren kopier eller kutter ut tekst som ligner Bitcoin eller Ethereum adresser. Clipsa erstatter slike adresser med adressene til sine operatører, i håp om å fange opp eventuelle utbetalinger som brukeren prøver å gjøre.
I noen tilfeller, den skadelige distribuerer også XMRig miner på infiserte verter å utvinne Monero kryptovaluta.
Ifølge Avast, fra august 1, 2018, selskapets antivirusprodukter blokkert mer enn 253,000 forsøker å infisere Clipsa. De fleste hendelser er rapportert i land som India, Bangladesh, Filippinene, Brasil, Pakistan, Spania og Italia.
Les også: Sårbarhet i plugin for WordPress lov til å kjøre PHP-kode eksternt
eksperter analysert 9412 Bitcoin adresser som Clipsa operatører har brukt i det siste. Som det viste seg, angriperne hadde allerede “tjent” nesten tre Bitcoins, som ble notert på 117 av disse adressene. Inntekten av malware operatører er minst $35,000 et år, bare på grunn av etterligning i bufferne av infiserte maskiner. Verre, denne statistikken tar ikke hensyn til penger stjålet fra brukerne gjennom hacking stjålet wallet.dat filer, samt midler mottatt gjennom Monero gruvedrift.
